Cos'è la CPRA? California Privacy Rights Act: nozioni di base e panoramica
Pubblicato: 2021-05-27Il CPRA avrà un impatto sulla privacy e sui diritti dei consumatori per gli anni a venire. Nel novembre 2020, gli elettori della California hanno approvato il California Privacy Rights Act del 2020, altrimenti noto come CPRA. Si tratta di un emendamento al California Consumer Privacy Act (CCPA) approvato dagli elettori nel 2018.
Il CPRA ha modificato, ampliato e chiarito i diritti alla privacy per i residenti in California e si ispira alla politica GDPR dell'UE in vari modi.
Ad esempio, la CPRA crea una nuova agenzia esecutiva. In precedenza il CCPA era applicato dall'Ufficio del procuratore generale della California. Tuttavia, nell'UE, il GDPR è applicato dalle autorità per la protezione dei dati –– e ora anche la California ne ha uno: la California Privacy Protection Agency (CPPA).
A questa agenzia saranno concessi poteri investigativi, esecutivi e normativi. Ancora più importante per le aziende, questa agenzia non sarà tenuta a consentire un periodo di cura di 30 giorni e le sanzioni per alcune violazioni delle norme possono ora arrivare fino a $ 7.500 per violazione. Questo è un aumento di 3 volte.
Cos'è la CPRA? Spiegato CPRA
Lo scopo del CPRA è ridefinire ed espandere il California Consumer Privacy Act (CCPA) al fine di rafforzare i diritti dei residenti della California. Offre ai consumatori maggiori opportunità di rinunciare e richiede una gestione deliberata della privacy dei dati da parte delle aziende.
Con così tanto in gioco, potresti rimanere a chiederti cosa è cambiato e cosa significa per la tua attività. Non sei solo. Mentre il potenziale fine è aumentato di 3 volte, la tua azienda ha tempo fino al 1 gennaio 2023, come tempo di accelerazione per la conformità. Ecco cosa devono sapere le aziende su CPRA .
Spiegazione del California Privacy Rights Act: cosa deve sapere la tua azienda
Il CCPA era già la più solida legge sulla privacy incentrata sui consumatori degli Stati Uniti. Il CPRA fa un ulteriore passo avanti e rende più difficile qualsiasi futura clemenza a meno che l'intera politica non venga revocata.
In altre parole, vuoi portare la tua attività in forma CPRA. Non è possibile riportare indietro l'orologio su questa politica sulla privacy. Invece, è probabile che più stati inizieranno ad adottare politiche simili.
Copriamo le basi.
Che cos'è la piattaforma dati del cliente? Può migliorare la CX?
Una piattaforma per i dati dei clienti è un software progettato per dare un senso ai dati dei clienti in modo da poter interagire con loro a un livello più personale, efficace (e prezioso). Ma cosa significa per i marketer? Dirigenti? Clienti? In che modo i CDP cambiano le loro esperienze?
Quando è necessario conformarsi al CPRA?
La maggior parte delle disposizioni del California Privacy Rights Act del 2020 non entreranno in vigore fino al 2 gennaio 2023. Tuttavia, le informazioni personali raccolte a partire dal 1 gennaio 2022 faranno parte dell'espansione della sezione "Diritto di sapere".
La tua azienda dovrà consentire ai consumatori il "diritto di sapere" quali dati hai raccolto su di loro e come vengono utilizzati per risalire a tutte le informazioni raccolte a partire dal 1 gennaio 2022.
Chi deve rispettare la CPRA?
Non tutti, e in effetti, questa è una delle aree in cui il CPRA è effettivamente più indulgente del CCPA originale.
Nel CCPA, le imprese con un numero totale di consumatori pari o superiore a 50.000 dovevano conformarsi. Nel CPRA, quel numero è raddoppiato. CPRA si applica solo alle aziende con consumatori superiori a 100.000.
Se sei un'azienda con più di 100.000 clienti, la CPRA si applicherà se generi almeno il 50% delle entrate annuali dalla vendita o dalla condivisione delle informazioni personali dei consumatori (PI). Questo è un altro aggiornamento nel CPRA rispetto al CCPA. Nel CCPA era contemplata solo la vendita di informazioni personali dei consumatori. Nel CPRA, ciò è stato esteso alla "condivisione", ovvero con terze parti.
Quali nuove normative introduce il CPRA?
Gran parte del CPRA è una modifica del CCPA, ma un'area di introduzione riguarda le "informazioni personali sensibili". Questo sarà ora un set di dati regolamentato nello stato della California.
Le informazioni personali sensibili per CPRA includono:
- Identificatori del governo: gli esempi includono i numeri di previdenza sociale e le patenti di guida
- Conto finanziario e informazioni di accesso: gli esempi includono il numero di carta di credito o di debito insieme alle credenziali di accesso
- Geolocalizzazione precisa
- Razza, etnia, convinzioni religiose o filosofiche o appartenenza a un sindacato
- Contenuto di comunicazioni non pubbliche: gli esempi includono posta, e-mail e messaggi di testo
- Dati genetici, informazioni biometriche o sanitarie
- Informazioni sulla vita sessuale o sull'orientamento sessuale.
Le organizzazioni che raccolgono, vendono o condividono queste informazioni dovranno rivelare che lo stanno facendo e consentire ai consumatori di aderire e rinunciare.
I nuovissimi diritti previsti dal CPRA
- Diritto alla correzione
- Diritto di accesso alle informazioni sul processo decisionale automatizzato
- Diritto di rinunciare alla tecnologia per il processo decisionale automatizzato
- Obblighi di revisione
Cosa significa CPRA per il tuo programma sulla privacy dei dati?
Se sei un'azienda con più di 100.000 clienti o con dati su più di 100.000 consumatori e utilizzi tali dati per marketing o pubblicità o per generare entrate per la tua attività, CPRA significa diverse cose per il tuo programma di privacy dei dati.
L'imperativo dei dati del cliente: cosa devono sapere i marchi
I marchi riconoscono che l'esperienza del cliente ha un impatto diretto sul fatturato e sul margine e presto prevarranno sul prezzo e sul prodotto come fattori di differenziazione nel prossimo futuro, se non lo è già stato.
Consenso e politiche di opt-out in corso
Nel CPRA sono state rafforzate le norme sul consenso, in particolare per i minori. Ciò significa che per raccogliere i dati di un utente, questi deve fornire un consenso esplicito con la conoscenza di come verranno utilizzati i suoi dati e per quali periodi di tempo.
Inoltre, i consumatori possono richiedere, e le imprese sono tenute a confermare, la loro rinuncia a specifici programmi, inclusa la cancellazione dei loro dati, anche se è stato prestato il loro previo consenso.
Per le organizzazioni, sarà fondamentale utilizzare strumenti come una piattaforma di dati dei clienti (CDP) per automatizzare ciò a cui i consumatori hanno aderito, ciò per cui sono esclusi e l'eliminazione dei dati quando richiesto. Ciò renderà anche molto più facile la gestione degli obblighi di audit introdotti in questo disegno di legge per le organizzazioni, poiché CDP aiuta a rispettare i requisiti di privacy e governance dei dati .
Diritto di accesso alle informazioni
In base al CPRA, i consumatori ora hanno il diritto di vedere quali informazioni hai raccolto su di loro e come ciò influisca sulla loro esperienza personalizzata con il tuo marchio. I consumatori possono infatti richiedere una descrizione significativa della logica coinvolta nel processo decisionale per campagne automatizzate, annunci e simili. È essenziale disporre di un piano per la privacy dei dati.
Per rendere tutto più semplice per i team, ancora una volta è utile un CDP, in particolare uno integrato con una soluzione CRM. Insieme, questi strumenti possono essere utilizzati per creare accessi personalizzati e pagine in cui i consumatori possono vedere tutti i loro dati, in quali flussi si trovano e gestire le proprie preferenze sui dati.
Scopo e limiti di archiviazione
Come accennato in precedenza, il CPRA trae ispirazione dalla politica GDPR nell'UE. Questi includono:
- Minimizzazione dei dati
- Limitazione dello scopo
- Limitazione di archiviazione
Questi requisiti significano che le aziende devono raccogliere la minor quantità di informazioni di cui hanno bisogno e devono dichiarare lo scopo della loro raccolta dei dati (cioè come verranno utilizzati) e per quanto tempo li conserveranno.
Perché hai bisogno di una piattaforma dati: i 5 principali problemi di privacy dei dati
La stragrande maggioranza dei consumatori afferma che rimarranno e pagheranno di più per un marchio di cui si fidano. Scopri i principali problemi di privacy dei dati che guidano - o rompono - la loro fiducia.
Qualunque sia la politica che la tua azienda decide, vorrai assicurarti di automatizzare ciò che la tua politica sulla privacy dice con il tuo sistema. Ad esempio, se dichiari che manterrai i dati nel sistema per due anni, ti consigliamo di automatizzare la rimozione di tali informazioni non appena quei 24 mesi saranno scaduti.
Ancora una volta, questo sarà incredibilmente utile per gli audit e garantirà l'assenza di errori manuali o dimenticanze da parte dei dipendenti.
Passi successivi proattivi per conformarsi al California Privacy Rights Act (CPRA)
Per le organizzazioni che realizzano più di 25 milioni di dollari di entrate annuali, raccolgono dati da oltre 100.00 consumatori e realizzano almeno il 50% dei profitti dalla vendita o condivisione di tali dati, è giunto il momento di ottenere un CDP.
La centralizzazione dei dati dei clienti da tutte le fonti utilizzando un CDP aiuterà il tuo team ad automatizzare molte delle nuove politiche, semplificare gli audit e soddisfare i clienti, senza dover aumentare il carico di lavoro del team per il marketing, le vendite, la pubblicità o qualsiasi altro reparto.
Ricorda, la CPRA è di gran lunga la più solida legge sulla privacy dei consumatori negli Stati Uniti, ma non sarà l'ultima, né lo sarà questo emendamento. Man mano che il Web incentrato sulla privacy continua a progredire e guadagnare terreno, le organizzazioni dovranno diventare più intelligenti e trasparenti su ciò che raccolgono, su chi e su come lo utilizzano. Investire ora ti fa risparmiare multe e mal di testa in futuro.